WO2012097725A1 - 认证方法和认证设备 - Google Patents

Description

认证方法和认证设备 本申请要求于 2011年 1月 19 日提交的， 申请号为 201110022021. X, 发 明名称为 "认证方法和认证设备" 的中国申请的优先权， 其全部内容通过引 用结合在本申请中。 技术领域

本发明涉及移动通信技术， 尤其涉及一种认证方法和认证设备。

背景技术

长期演进（ Long Term Evolution, LTE )系统中，用户设备（ User Equipment, UE )入网时需要完成签约认证 ( subscription authentication ), 即完成全球用户 身份模块（Universal Subscriber Identity Module, USIM )认证， 该认证由 UE 的卡和移动管理实体 ( Mobile Management Entity, MME ) 间执行认证和密钥 十办商 ( Authentication and Key Agreement, AKA )过程: ¾成。演进基站 ( evolution NodeB , eNB ) 启动时， 可以和有接口的网元间进行基于证书的密钥交换

( Internet Key Exchange, IKE )认证, 即平台认证 ( latform authentication ), 并建立 IPsec安全隧道， 或者建立传输层安全协议（ Transport Layer Security Protocol, TLS ) 隧道。 中继节点 （Relay Node, RN )是长期演进系统的进一 步增强 （Long Term Evolution Advanced, LTE-A ) 中引入的新的接入网节点， RN有双重角色： UE角色和 eNB角色。 在引入 RN后， 对应的 eNB和 MME

( mobility management entity移动性管理实体）分别为错点基站（ DeNB, Donor eNB )和 MME— RN。

RN在入网过程中 , 和传统的 UE—样 , 会与 MME— RN进行 AKA过程 , 完成对 RN卡（即 USIM ) 的认证。 但是， 由于 RN设备与 USIM之间通道的 不安全性， 单纯进行 AKA认证很容易被攻击者攻击， 不能保证安全性。 发明内容

本发明实施例是提供一种认证方法和认证设备， 提高安全保护能力。 根据本发明的一个方面， 提供了一种认证方法， 包括：

获取签约认证后生成的第一密钥，并获取平台认证后生成的第二密钥； 根据所述第一密钥和第二密钥进行密钥推演， 得到第三密钥， 根据所述 第三密钥推演非接入层 NAS密钥以及接入层 AS根密钥， 所述 NAS密钥用于保 护 NAS消息， 所述 AS根密钥用于推演 AS密钥， 所述 AS密钥用于保护 AS消息 和数据。

根据本发明的另一个方面， 提供一种认证设备， 包括：

获取模块， 用于获取签约认证后生成的第一密钥， 并获取平台认证后 生成的第二密钥；

推演模块， 用于根据所述获取模块获取的第一密钥和第二密钥进行密 钥推演，得到第三密钥，根据所述第三密钥推演非接入层 NAS密钥以及接 入层 AS根密钥， 所述 NAS密钥用于保护 NAS消息， 所述 AS根密钥用于 推演 AS密钥， 所述 AS密钥用于保护 AS消息和数据。

根据本发明的再一个方面， 提供了一种认证方法， 包括：

获取签约认证后生成的第一密钥， 并与 DeNB进行平台认证， 生成第 二密钥， 所述 DeNB在与中继节点 RN建立安全隧道后将所述第二密钥发 送给所述 RN;

接收所述 DeNB发送的指示消息， 所述指示消息中包含表明所述设备认证 是否成功的信息， 如果所述指示消息包括表明所述设备认证未成功的信息， 则释放与所述 RN的连接。

根据本发明的又一个方面， 提供了一种认证设备， 包括：

获取模块，用于获取签约认证后生成的第一密钥，并与锚点基站 DeNB 进行平台认证， 生成所述第二密钥；

译放模块， 用于在所述 DeNB在与中继节点 RN建立安全隧道后将所述获 取模块获取的第二密钥发送给所述 RN后， 接收所述 DeNB发送的指示消息， 所述指示消息中包含表明所述设备认证是否成功的信息， 如果所述指示消息 包括表明所述设备认证未成功的信息， 则译放与所述 RN的连接。

由上述技术方案可知， 本发明实施例不仅进行卡认证， 还进行设备认证， 通过对卡认证生成的第一密钥和设备认证生成的第二密钥进行密钥推演得到 第三密钥， 采用第三密钥得到 NAS密钥和 AS密钥并进行安全保护， 可以提 高安全保护能力。 附图说明

为了更清楚地说明本发明实施例中的技术方案， 下面将对实施例描述中 所需要使用的附图作一简单地介绍， 显而易见地， 下面描述中的附图是本发 明的一些实施例， 对于本领域普通技术人员来讲， 在不付出创造性劳动性的 前提下， 还可以根据这些附图获得其他的附图。

图 1为本发明第一实施例的方法流程示意图；

图 2为本发明第二实施例的方法流程示意图；

图 3为本发明第三实施例的方法流程示意图；

图 4为本发明第四实施例的方法流程示意图；

图 5为本发明第五实施例的设备的结构示意图；

图 6为本发明第六实施例的方法流程示意图；

图 7为本发明第七实施例的设备的结构示意图。 具体实施方式

为使本发明实施例的目的、 技术方案和优点更加清楚， 下面将结合本 发明实施例中的附图， 对本发明实施例中的技术方案进行清楚、 完整地描 述， 显然， 所描述的实施例是本发明一部分实施例， 而不是全部的实施例。 基于本发明中的实施例， 本领域普通技术人员在没有做出创造性劳动前提 下所获得的所有其他实施例， 都属于本发明保护的范围。

图 1为本发明第一实施例的方法流程示意图， 包括：

步骤 11： RN的 MME ( MME— RN )获取签约认证后生成的第一密钥， 并获取平台认证后生成的第二密钥； 步骤 12: MME—RN根据所述第一密钥和第二密钥进行密钥推演， 得 到第三密钥，根据所述第三密钥推演非接入层（ Non-Access Stratum, NAS ) 密钥以及接入层 （Access Stratum, AS )根密钥， 所述 NAS密钥用于保护 NAS消息， 所述 AS根密钥用于推演 AS密钥， 所述 AS密钥用于保护 AS 消息和数据。

本实施例通过对第一密钥和第二密钥进行密钥推演得到第三密钥， 采 用第三密钥推演 NAS密钥和 AS根密钥， 可以避免单纯采用第一密钥造成 的不安全问题， 提高安全保护能力。

图 2为本发明第二实施例的方法流程示意图，本实施例以 RN与 DeNB 进行平台认证生成第二密钥为例。 参见图 2, 本实施例包括：

步骤 21 : RN与 MME— RN进行 AKA过程， 完成签约认证。

其中， 在签约认证完成后， RN和 MME— RN都可以生成第一密钥 Kasme。

步骤 22: RN与 DeNB进行 IKA过程， 完成平台认证， 并建立 IPsec 隧道或者 TLS隧道。

步骤 23: 平台认证完成后， RN和 DeNB生成第二密钥 Ko。

具体地， 可以是 DeNB生成随机数 Ko, 通过 IPsec隧道或者 TLS隧道 发送给 RN; 也可以是， 在建立 IPsec过程或者 TLS过程中通过生成的共 享密钥获得 Ko。

步骤 24： DeNB通过 S 1消息将第二密钥 Ko发送给 MME— RN。

步骤 25: MME— RN根据第一密钥 Kasme和第二密钥 Ko,得到第三密 钥 Kasme'„

其中， MME— RN可以采用密钥推演函数 KDF得到新的密钥， 即 Kasme'=KDF ( Ko, Kasme ) 。 密钥推演函数是一种现有的用于产生密钥 的算法。

步骤 26: MME— RN向 RN发送用于启动 RN侧密钥的消息。 例如， 上述的启动 RN侧密钥可以包括： 启动 RN侧的 NAS密钥， 和 /或， 启动 RN侧的 AS层密钥。

其一，为了启动 RN侧的 NAS密钥，可以是 MME— RN向 RN发送 NAS 安全模式命令 ( Secure Mode Command, SMC ) 消息。

在一个实施例中， 该 NAS SMC消息用于启动 RN侧的 NAS密钥， 该 消息中可以包含如下项中的至少一项： 安全算法、 安全开启指示信息以及 NAS密钥标识。

另外， 该 NAS SMC消息可以用 NAS密钥进行保护， MME— RN在计 算出第三密钥后， 可以根据第三密钥来计算 NAS密钥， 其中具体的计算过 程可以参见现有技术中用第一密钥计算 NAS密钥的过程。

另外， 该用于启动 RN侧的 NAS密钥的消息也不限于 NAS SMC, 也 可以采用新增的消息。

在一个实施例中， 为了启动 RN侧的 AS密钥， 可以是：

MME— RN根据第三密钥计算 AS根密钥 KeNB , 并将该 AS根密钥 KeNB发送给 DeNB; DeNB根据该 AS根密钥计算 AS密钥， 并向 RN发 送 AS SMC消息， 该 AS SMC消息可以用计算得到的 AS密钥进行保护。 其中， 由 AS根密钥计算 AS密钥的算法可以采用通常的算法实现。

该 AS SMC消息用于启动 RN侧的 AS密钥， 该消息中可以包含如下 项中的至少一项： 安全算法、 安全开启指示信息以及 AS密钥标识。

另外， 该用于启动 RN侧的 AS密钥的消息也不限于 AS SMC,也可以 采用新增的消息。

在一个实施例中， 可以启动 RN侧的 NAS密钥， 并且， 启动 RN侧的 AS层密钥。

步骤 27： RN根据签约认证生成的第一密钥及平台认证生成的第二密 钥， 推演计算第三密钥。

例如， RN在接收到用于启动密钥的消息后， 采用自身保存的 Ko、 Kasme推演密钥， 得到自身推演后的 Kasme，=KDF ( Ko, Kasme ) , 再用 该推演后的密钥 Kasme，得到 NAS密钥以及 AS根密钥，根据 AS根密钥得 到 AS密钥。 之后， 可以采用该 NAS密钥以及 AS密钥进行通常的安全相 关过程。

本实施例中， 当第二密钥 Ko和 /或第一密钥 Kasme更新后， 则会引起 第三密钥更新：

1 ) Kasme更新引发： RN与 MME— RN保存 Κο , 当新的 AKA生成的 新的 Kasme后， 用保存的 Ko与新的 Kasme运算， 得到更新后的 Kasme，；

2 ) Ko的更新引发： 当 IPsec更新时， 生成新的 Κο' , 用新的 Ko'与 Kasme一起运算 , 得到新的 Kasme，；

3 ) Kasme和 Ko同时更新引发： 当 MME— RN收到 DeNB发送过来的 新的 Ko时 ,如果判断出需要马上进行 AKA, MME应该先发起 AKA过程 , 生成新的 Kasme,然后才艮据新的 Ko,Kasme计算新的 Kasme' ;

更新后的 RN侧密钥的启动：

1 ) MME— RN触发 NAS SMC过程， 启动新的 NAS密钥；

2 ) MME— RN根据更新后的 Kasme，计算 AS根密钥 KeNB,并将该 AS 根密钥发送给 DeNB, DeNB通过 AS根密钥计算得到 AS密钥， 并用 AS 密钥保护 AS SMC发送给 RN以启动新的 AS密钥，或者， DeNB在计算出 AS密钥后， 触发小区内切换 （ intra-cell HO ) 以启动 RN的新的 AS密钥。

本实施例通过对第一密钥和第二密钥进行混合， 可以避免单纯采用第 一密钥造成的 NAS层不安全问题， 保证 NAS层的安全。 另外， 在平台认 证之后将第二密钥由 DeNB发送给 MME— RN ,可以保证 DeNB和 MME— RN 对 RN的认证结果一致。

图 3为本发明第三实施例的方法流程示意图， 本实施例以 RN与 MME— RN 进行平台认证生成第二密钥为例， 参见图 3 , 本实施例包括： 步骤 31 : RN与 MME— RN进行 AKA过程 , 完成签约认证。 其中， 在签约认证完成后， RN和 MME— RN都可以生成第一密钥 Kasme。

步骤 32: RN与 MME— RN进行 IKA过程，完成平台认证，并建立 IPsec 隧道或者 TLS隧道。

步骤 33: 平台认证完成后， RN和 MME— RN生成第二密钥 Ko。

具体地， 可以是 MME— RN生成随机数 Κο, 通过 IPsec隧道或者 TLS 隧道发送给 RN; 也可以是， 在建立 IPsec过程或者 TLS过程中通过生成 的共享密钥获得 Ko。

步骤 34: MME— RN根据第一密钥 Kasme和第二密钥 Ko,得到第三密 钥 Kasme'„

步骤 35： MME— RN向 RN发送用于启动 RN侧密钥的消息。

步骤 36: RN根据签约认证生成的第一密钥及平台认证生成的第二密 钥， 推演计算第三密钥。

上述的步骤 34-36的具体内容可以参见步骤 25-27。

另外， 更新第三密钥以及更新后的第三密钥的启动也可以参见第二实 施例的内容。

本实施例通过对第一密钥和第二密钥进行混合， 可以避免单纯采用第 一密钥造成的 NAS层不安全问题， 保证 NAS层的安全。 另外， 通过 RN 与 MME进行平台认证， 可以避免 DeNB引入新的 S1消息发送第二密钥。

图 4为本发明第四实施例的方法流程示意图， 本实施例以 DeNB和 MME— RN进行平台认证生成第二密钥为例， 参见图 4 , 本实施例包括： 步骤 41 : RN与 MME— RN进行 AKA过程， 完成签约认证。

其中， 在签约认证完成后， RN和 MME— RN都可以生成第一密钥 Kasms。

步骤 42: MME— RN与 DeNB进行 IKA过程， 完成平台认证， 并建立 IPsec隧道或者 TLS隧道。 步骤 43: 平台认证完成后， MME— RN和 DeNB生成第二密钥 Ko。 具体地， 可以是 MME— RN生成随机数 Κο, 通过 IPsec隧道或者 TLS

P遂道发送给 DeNB; 也可以是， MME— RN和 DeNB在建立 IPsec过程或者

TLS过程中通过生成的共享密钥获得 Ko。

步骤 44: RN与 DeNB建立 IPsec隧道或者 TLS隧道， 完成平台认证。 步骤 45: DeNB将 Ko通过 IPsec隧道或者 TLS P遂道发送给 RN。

步骤 46: DeNB向 MME— RN发送指示消息， 该指示消息中包含表明 平台认证是否成功的信息以及表明已向 RN发送第二密钥的信息 。

步骤 47:如果指示消息表明 RN与 DeNB的平台认证成功 ,则 MME— RN 根据第一密钥 Kasme和第二密钥 Ko, 得到第三密钥 Kasme，。

如果指示消息表明 RN与 DeNB的平台认证未成功 , 则 MME— RN可 以释放与 RN的连接。

步骤 48： MME— RN向 RN发送用于启动 RN侧密钥的消息。

步骤 49： RN根据签约认证生成的第一密钥及平台认证生成的第二密 钥， 推演计算第三密钥。

上述的步骤 47-49的具体内容可以参见步骤 25-27。

另外， 更新第三密钥以及更新后的第三密钥的启动也可以参见第二实 施例的内容。

本实施例通过对第一密钥和第二密钥进行混合， 可以避免单纯采用第 一密钥造成的 NAS层不安全问题， 保证 NAS层的安全。 另外， 在 RN获 取第二密钥之后通知 MME— RN, 可以保证 DeNB和 MME— RN对 RN的认 证结果一致。

图 5为本发明第五实施例的设备的结构示意图，包括获取模块 51和推 演模块 52; 获取模块 51用于获取签约认证后生成的第一密钥， 并获取平 台认证后生成的第二密钥；推演模块 52用于根据所述第一密钥和第二密钥 进行密钥推演， 得到第三密钥， 根据所述第三密钥推演 NAS密钥以及 AS 根密钥， 所述 NAS密钥用于保护 NAS消息， 所述 AS根密钥用于推演 AS 密钥， 所述 AS密钥用于保护 AS消息和数据。

所述获取模块 51具体用于：接收 DeNB发送的第二密钥， 所述第二密 钥为所述 DeNB与 RN完成平台认证后生成的； 或者， 与 RN进行平台认 证， 生成所述第二密钥； 或者， 与 DeNB进行平台认证， 生成所述第二密 钥， 所述 DeNB用于在与 RN建立安全隧道后将所述第二密钥发送给所述 RN。

本实施例还可以包括接收模块，用于接收所述 DeNB发送的指示消息， 所述指示消息中包含表明所述平台认证是否成功的信息； 所述推演模块具 体用于如果所述指示消息包括表明所述设备认证成功的信息， 进行所述根 据所述第一密钥和第二密钥进行密钥推演， 得到第三密钥。

本实施例还可以包括： 发送模块， 用于在所述根据所述第三密钥推演 NAS密钥之后， 向 RN发送采用所述 NAS密钥保护的消息以启动所述 RN 的 NAS密钥， 所述消息中至少包含如下项中的至少一项： 为 NAS层选择 的安全算法、 NAS层安全开启指示信息以及 NAS密钥标识； 和 /或， 在所 述根据所述第三密钥计算 AS根密钥之后， 向 DeNB发送所述 AS根密钥， 以便所述 DeNB根据所述 AS根密钥得到 AS密钥，并向所述 RN发送采用 所 AS密钥保护的消息以启用所述 RN的 AS密钥，所述消息中至少包含如 下项中的至少一项： 为 AS层选择的安全算法、 AS层安全开启指示信息以 及 AS密钥标识。

本实施例还可以包括： 更新模块， 用于当所述第一密钥发生变化， 根 据变化后的第一密钥， 以及所述第二密钥， 推演更新后的第三密钥， 并根 据所述更新后的第三密钥推演更新后的 NAS密钥以及更新后的 AS根密 钥； 或者， 当所述第二密钥发生变化， 根据变化后的第二密钥， 以及所述 第一密钥， 推演更新后的第三密钥， 并根据所述更新后的第三密钥推演更 新后的 NAS密钥以及更新后的 AS根密钥； 或者， 当所述第一密钥发生变 化， 且所述第二密钥发生变化， 根据变化后的第一密钥以及变化后的第二 密钥， 推演更新后的第三密钥， 并根据所述更新后的第三密钥推演更新后 的 NAS密钥以及更新后的 AS根密钥。

本实施例不仅进行签约认证， 还进行平台认证， 通过对签约认证生成 的第一密钥和平台认证生成的第二密钥进行密钥推演得到第三密钥， 采用 第三密钥得到 NAS密钥和 AS密钥并进行安全保护， 可以提高安全保护能 力。

图 6为本发明第六实施例的方法流程示意图， 包括：

步骤 61： MME— RN获取签约认证后生成的第一密钥， 并与 DeNB进 行平台认证， 生成所述第二密钥， 所述 DeNB在与 RN建立安全隧道后将 所述第二密钥发送给所述 RN;

步骤 62: MME— RN接收所述 DeNB发送的指示消息， 所述指示消息 中包含表明所述设备认证是否成功的信息， 如果所述指示消息包括表明所 述设备认证未成功的信息， 则释放与所述 RN的连接。

本实施例在平台认证未成功后释放连接， 可以提高安全保护能力。 图 7为本发明第七实施例的设备的结构示意图，包括获取模块 71和释 放模块 72; 获取模块 71用于获取签约认证后生成的第一密钥， 并与 DeNB 进行平台认证， 生成所述第二密钥； 释放模块 72用于在所述 DeNB在与 RN建立安全隧道后将所述获取模块 71获取的第二密钥发送给所述 RN , 接收所述 DeNB发送的指示消息， 所述指示消息中包含表明所述设备认证 是否成功的信息，如果所述指示消息包括表明所述设备认证未成功的信息， 则释放与所述 RN的连接。

本实施例在平台认证未成功后释放连接， 可以提高安全保护能力。 可以理解的是， 上述方法及设备中的相关特征可以相互参考。 另外， 上述实施例中的 "第一" 、 "第二" 等是用于区分各实施例， 而并不代表 各实施例的优劣。 本领域普通技术人员可以理解： 实现上述方法实施例的全部或部分步 骤可以通过程序指令相关的硬件来完成， 前述的程序可以存储于计算机可 读取存储介质中， 该程序在执行时， 执行包括上述方法实施例的步骤； 而 前述的存储介质包括： ROM、 RAM, 磁碟或者光盘等各种可以存储程序代 码的介质。

最后应说明的是： 以上实施例仅用以说明本发明的技术方案， 而非对其 限制； 尽管参照前述实施例对本发明进行了详细的说明， 本领域的普通技术 人员应当理解： 其依然可以对前述各实施例所记载的技术方案进行修改， 或 者对其中部分技术特征进行等同替换； 而这些修改或者替换， 并不使相应技 术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

权利 要求 书

1、 一种认证方法， 其特征在于， 包括：

获取签约认证后生成的第一密钥， 并获取平台认证后生成的第二密钥； 根据所述第一密钥和第二密钥进行密钥推演， 得到第三密钥， 根据所述 第三密钥推演非接入层 NAS密钥以及接入层 AS根密钥， 所述 NAS密钥用 于保护 NAS消息， 所述 AS根密钥用于推演 AS密钥， 所述 AS密钥用于保 护 AS消息和数据。

2、根据权利要求 1所述的方法， 其特征在于， 所述获取平台认证后生成 的第二密钥， 包括：

接收锚点基站 DeNB发送的第二密钥， 所述第二密钥为所述 DeNB与中 继节点 RN完成平台认证后生成的；

或者，

与 RN进行平台认证， 生成所述第二密钥；

或者，

与 DeNB进行平台认证， 生成所述第二密钥， 所述 DeNB在与 RN建立 安全隧道后将所述第二密钥发送给所述 RN。

3、 根据权利要求 2所述的方法， 其特征在于， 在所述与 DeNB进行平 台认证， 生成所述第二密钥， 所述 DeNB在与 RN建立安全隧道后将所述第 二密钥发送给所述 RN之后， 所述方法还包括：

接收所述 DeNB发送的指示消息， 所述指示消息中包含表明所述设备认 证是否成功的信息， 如果所述指示消息包括表明所述设备认证成功的信息， 进行所述根据所述第一密钥和第二密钥进行密钥推演， 得到第三密钥。

4、 根据权利要求 1-3任一权利要求所述的方法， 其特征在于，

在所述根据所述第三密钥推演 NAS密钥之后， 所述方法还包括： 向 RN发送采用所述 NAS密钥保护的消息以启动所述 RN的 NAS密钥， 所述消息中至少包含如下项中的至少一项： 为 NAS层选择的安全算法、 NAS 层安全开启指示信息以及 NAS密钥标识；

和 /或，

在所述根据所述第三密钥推演 AS根密钥之后， 所述方法还包括： 向 DeNB发送所述 AS根密钥， 以便所述 DeNB根据所述 AS根密钥得 到 AS密钥，并向所述 RN发送采用所 AS密钥保护的消息以启用所述 RN的 AS密钥， 所述消息中至少包含如下项中的至少一项： 为 AS层选择的安全算 法、 AS层安全开启指示信息以及 AS密钥标识。

5、 根据权利要求 1-4任一权利要求所述的方法， 其特征在于， 还包括： 当所述第一密钥发生变化，根据变化后的第一密钥， 以及所述第二密钥， 推演更新后的第三密钥， 并根据所述更新后的第三密钥推演更新后的 NAS 密钥以及更新后的 AS根密钥；

或者，

当所述第二密钥发生变化，根据变化后的第二密钥， 以及所述第一密钥， 推演更新后的第三密钥， 并根据所述更新后的第三密钥推演更新后的 NAS 密钥以及更新后的 AS根密钥；

或者，

当所述第一密钥发生变化， 且所述第二密钥发生变化， 根据变化后的第 一密钥以及变化后的第二密钥， 推演更新后的第三密钥， 并根据所述更新后 的第三密钥推演更新后的 NAS密钥以及更新后的 AS根密钥。

6、 根据权利要求 2-5任一权利要求所述的方法， 其特征在于， 所述与 RN进行平台认证， 生成所述第二密钥， 包括：

与 RN进行平台认证， 将生成的随机数作为所述第二密钥， 或者， 根据 认证生成的共享密钥得到所述第二密钥。

7、 一种认证设备， 其特征在于， 包括：

获取模块， 用于获取签约认证后生成的第一密钥， 并获取平台认证后生 成的第二密钥； 推演模块， 用于根据所述获取模块获取的第一密钥和第二密钥进行密钥 推演，得到第三密钥，根据所述第三密钥推演非接入层 NAS密钥以及接入层 AS根密钥， 所述 NAS密钥用于保护 NAS消息， 所述 AS根密钥用于推演 AS密钥， 所述 AS密钥用于保护 AS消息和数据。

8、 根据权利要求 7所述的设备， 其特征在于，

所述获取模块， 具体用于接收锚点基站 DeNB发送的第二密钥， 所述第 二密钥为所述 DeNB与中继节点 RN完成平台认证后生成的；

或者，

与 RN进行平台认证， 生成所述第二密钥；

或者，

与 DeNB进行平台认证， 生成所述第二密钥， 所述 DeNB用于在与 RN 建立安全隧道后将所述第二密钥发送给所述 RN。

9、 根据权利要求 8所述的设备， 其特征在于， 还包括：

接收模块， 用于接收所述 DeNB发送的指示消息， 所述指示消息中包含 表明所述设备认证是否成功的信息；

所述推演模块 , 具体用于如果所述接收模块接收的指示消息包括表明所 述设备认证成功的信息， 进行所述根据所述第一密钥和第二密钥进行密钥推 演， 得到第三密钥。

10、 根据权利要求 7-9任一权利要求所述的设备， 其特征在于， 还包括： 发送模块， 用于在所述推演模块根据所述第三密钥推演 NAS密钥之后， 向 RN发送采用所述 NAS密钥保护的消息以启动所述 RN的 NAS密钥， 所 述消息中至少包含如下项中的至少一项： 为 NAS层选择的安全算法、 NAS 层安全开启指示信息以及 NAS密钥标识； 和 /或， 在所述根据所述第三密钥 计算 AS根密钥之后， 向 DeNB发送所述 AS根密钥， 以便所述 DeNB根据 所述 AS根密钥得到 AS密钥， 并向所述 RN发送采用所 AS密钥保护的消息 以启用所述 RN的 AS密钥， 所述消息中至少包含如下项中的至少一项： 为 AS层选择的安全算法、 AS层安全开启指示信息以及 AS密钥标识。

11、根据权利要求 7-10任一权利要求所述的设备，其特征在于，还包括： 更新模块， 用于当获取模块获取的所述第一密钥发生变化， 根据变化后 的第一密钥， 以及所述获取模块获取的第二密钥， 推演更新后的第三密钥， 并根据所述更新后的第三密钥推演更新后的 NAS密钥以及更新后的 AS根密 钥； 或者， 当所述第二密钥发生变化， 根据变化后的第二密钥， 以及所述第 一密钥， 推演更新后的第三密钥， 并根据所述更新后的第三密钥推演更新后 的 NAS密钥以及更新后的 AS根密钥； 或者， 当所述第一密钥发生变化， 且 所述第二密钥发生变化， 根据变化后的第一密钥以及变化后的第二密钥， 推 演更新后的第三密钥，并根据所述更新后的第三密钥推演更新后的 NAS密钥 以及更新后的 AS根密钥。

12、 一种认证方法， 其特征在于， 包括：

获取签约认证后生成的第一密钥， 并与 DeNB进行平台认证， 生成第二 密钥， 所述 DeNB在与中继节点 RN建立安全隧道后将所述第二密钥发送给 所述 RN;

接收所述 DeNB发送的指示消息， 所述指示消息中包含表明所述设备认 证是否成功的信息，如果所述指示消息包括表明所述设备认证未成功的信息， 则释放与所述 RN的连接。

13、 一种认证设备， 其特征在于， 包括：

获取模块， 用于获取签约认证后生成的第一密钥， 并与锚点基站 DeNB 进行平台认证， 生成所述第二密钥；

译放模块， 用于在所述 DeNB在与中继节点 RN建立安全隧道后将所述获 取模块获取的第二密钥发送给所述 RN后， 接收所述 DeNB发送的指示消息， 所述指示消息中包含表明所述设备认证是否成功的信息， 如果所述指示消息包 括表明所述设备认证未成功的信息， 则译放与所述 RN的连接。